元ツイートにちゃんと「(鍵付きハッシュの場合は鍵の保有者にとって)」と注記してあるのを見落とすほどに身の程知らずな例がこれ↓。何が議論の問題点とされているか理解していないからこうなる。 twitter.com/kazutomo/statu…
2017-07-09 18:24:20単方向ハッシュでもHMACとかsaltをつけてればコードも漏れないとレインボーテーブルつくれないよ / “ねとらぼ「予約キャンセルデータベースへの取材記事」に対するセキュリティ専門家高木浩光氏のツイート - Togetterまとめ” htn.to/mXbsHP
2017-07-09 18:14:09もっとも、電話番号のハッシュの話は、元の本題からすれば枝葉の話にすぎない。当該サイトが「運営者サイドでも電話番号はわかりません」と主張しているのが、ねとらぼ記事の通り、個人情報保護法の適用を免れるための方便の一つであるなら、法はそのような方便を認めていないことを示したまで。
2017-07-09 18:56:46内容に関して
「情報保護委員会」ではなく「個人情報保護委員会」 nlab.itmedia.co.jp/nl/articles/17… 「運営者と情報保護委員会 両者の見解」
2017-07-08 20:56:25委員会は事業者を監督するが、行政を監督するというのは誤り。(匿名加工情報については行政機関についても所管するが監督ではない。) nlab.itmedia.co.jp/nl/articles/17… 「「個人情報の保護に関する法律」に基づいて行政や事業者を監督している機関・個人情報保護委員会の担当者に」
2017-07-08 20:59:05委員会担当者の回答らしいが出鱈目。どんな担当者に聞いたのだ? nlab.itmedia.co.jp/nl/articles/17… 「このように個人で運営しているケースですと、事業者しか規制の対象となりません。運営者がこのサイトを通して利益を得ようとしているのか、趣味の範囲か、それも大事な観点と…」
2017-07-08 21:01:37この回答は委員会ガイドラインに明白に反している。 ppc.go.jp/files/pdf/guid… 「ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない」
2017-07-08 21:08:36続き 「なお、法人格のない、権利能力のない社団(任意団体)又は個人であっても、個人情報データベース等を事業の用に供している場合は個人情報取扱事業者に該当する。」
2017-07-08 21:09:50その結果、出鱈目な解釈をねとらぼの見解として披露してしまっている。 nlab.itmedia.co.jp/nl/articles/17… 「サービスは電話番号しか登録できない仕組み、さらに個人が有志で非営利的に運営しているので、運営側が同法律に抵触する可能性は低いようだ。」
2017-07-08 21:11:49この回答もひどい。nlab.itmedia.co.jp/nl/articles/17…「「サイトが電話番号しか確認できないシステムですと、法律の対象外になる可能性が高いです。名前や住所など個人が特定できるような情報がひも付けられていたら個人情報となる…電話番号だけ並んでいるとそうはなりづらいですね」」
2017-07-08 21:22:11電話番号が単体で個人情報となるかは、一昨年の改正法案の国会審議で問われている。特に携帯電話の場合は個人が占有利用しているから個人識別符号とするべきではないかとの議論だったが、政府答弁は「法人契約の場合もあるから」というものだった。 takagi-hiromitsu.jp/misc/jpappi-am…
2017-07-08 21:26:31この答弁は、逆に言えば法人契約でないものは個人情報と言える余地を残していると言うべきであろう。 takagi-hiromitsu.jp/misc/jpappi-am… pic.twitter.com/Ei8WlD6FyL
2017-07-08 21:32:25一覧できないならいいじゃん検索だけなら問題ないだろ的な声も出ているが、これは法の趣旨を漏洩対策に矮小化して捉えていると陥る典型的な誤解で、法の趣旨は、誤った情報に基づく自動処理により個人が不当に扱われることの防止こそにある。 twitter.com/sanakichi_love…
2017-07-08 21:41:52一覧を見ることが出来ないならいいんじゃない? 登録と検索だけでしょ? 予約を無断キャンセルした客の番号を共有するサイト、注目浴びる 背景には飲食店の… nico.ms/nw2866180 #niconews
2017-07-08 17:26:59このPマーク業者は、法の趣旨に立ち戻って考えることなく、ただただルールを当てはめることしか能がないんだろうな。 twitter.com/pmarknews/stat…
2017-07-09 19:50:39中です。個人情報保護の観点から気になるニュースですね。現在の個人情報保護法では、携帯電話番号単体では個人情報とはならないと考えられるため、原則として問題ないというのが答えになると思います。... fb.me/6hX3Q19ja
2017-07-09 11:59:33ブラック個人リストの適正な運用は正確性の確保(19条)、開示(28条)、訂正等(29条)、利用停止(30条)によって規律される。 これは、以前から話題になっている顔識別カメラによる万引き犯検知システムに求められる規制と同じであり、カメラに規制が及ぶならこれも同様にするべきだろう。
2017-07-08 21:47:42ねとらぼは委員会のどこに取材したのか。おそらく「個人情報保護法相談ダイヤル」ppc.go.jp/application/pi…に聞いただけでは? ここはヘルプデスクみたいなところで、コールセンター同様、いい加減な回答が出る恐れがある。新聞記者ならならここを頼りに記事にしたりはしない。
2017-07-08 21:52:27「担当者」のこれも素人レベルだ。 nlab.itmedia.co.jp/nl/articles/17…「法律で個人情報を取り扱う事業者は…外部に提供することは禁止されているのです。このサービスですと店側はお客さんから許可をもらわずに登録することになるので、このあたりで問題が発生する可能性がありますね」
2017-07-08 21:56:53第三者提供が制限されるのは、データベース化された個人データの場合であり、店側がここに電話番号を登録するとき参照するものが予約メモ程度のものであれば、個人データの提供に当たらない。 twitter.com/hiromitsutakag…
2017-07-08 22:00:02店が予約データベースを構築している場合には、電話番号の外部登録は第三者提供制限(23条)違反となるわけで、むしろそこを真っ先に強調して回答するべきところだろう。改正法施行直後なのだから、提供時の記録義務(25条)にも触れて然るべき。 twitter.com/hiromitsutakag…
2017-07-08 22:04:16このように、この担当者見解は素人電話係のものと見るべきだが、改めて本件の個人情報取扱事業者該当性について言うと、法の趣旨はブラックリスト運用の適正化にあり、このサイトが悪質な個人を識別しようと企図していることは明らかなのだから、「個人情報として扱われている」と言うべきものだろう。
2017-07-08 22:12:11それにしても、記事には2名もの弁護士(匿名だが)が登場するが、両者とも「問題ないという判断」をしている。このことは、いかに個人情報保護法のことを(その趣旨を含めて)正確に理解していない弁護士が世に溢れているかを物語っている。ちゃんとこの法に明るい弁護士に相談しないと危うい。
2017-07-08 22:20:09ねとらぼがこんな記事を書いてしまったのは、本物の専門家に取材していないからだ。新聞の場合は、社が把握している専門家に問い合わせるので、こういうことにはならない。否定派と肯定派の見解をとって真偽を見極めるのがプロの仕事であり、残念ながらねとらぼはまだそれには遠いと言わざるを得ない。
2017-07-08 22:22:48結局、電話番号が客体として個人情報か否かと問うのは不毛であり、法の趣旨に照らせば、取扱者が個人を識別するために用いているか否かで、法の適用の当否を定めるべきである。このことは、3年毎の見直しが予定されている個人情報保護法の次の改正で検討すべきことであり、本件はその立法事実となる。
2017-07-08 22:15:50個人情報保護法の話って難しい話が多いのだけど、こんな簡単なところで間違えるのは理解しがたい。 twitter.com/HiromitsuTakag…
2017-07-08 21:51:04